搜索
信息安全风险评估表Ver1.02015年02月14日深圳市**********有限公司信息安全风险评估表识别编号:NOAH_D_B.01_08_2009.7密级等级:社外秘版本号分发编号编制人/创建日期审核人/审核日期批准人/批准日期发布日期/实施日期V1.0////////////////////////////////////////////////受控文件3/22XXXX有限公司识别编号:NOAH_D_B.01_08_2009.7密级等级:社外秘受控文件4/22XXXX有限公司部门部门编号人事行政部YSSM01产品中心YSSM02营销中心YSSM03客户服务中心YSSM04质量保障部YSSM05综合管理部YSSM06财务部YSSM07资产分类类别编号人员LB100X数据资产LB200X文档资产LB300X软件资产LB400X物理资产LB500X服务LB600X无形资产LB700X注:X为序号序号资产名称(标识)资产类别功能描述所属部门责任人资产重要性值保密性(C)完整性(I)可用性(A)法律与法规符合性(L)威胁表现威胁程度脆弱性表现脆弱程度固有风险值固有风险等级现有控制措施描述威胁程度脆弱程度现有风险值现有风险等级ISO27001附录A条款ISO27001附录A控制措施资产责任部门/责任人控制措施实施责任部门控制措施实施责任人计划开始时间计划完成时间实际开始时间实际完成时间相关体系文件威胁程度脆弱性表现风险值实际实施控制措施有效性残余风险等级是否接受1总经理LB1001主导公司业务王二165443人身意外4可能遭受环境灾害或其他意外事故53204提高自身安全4425634425643YES2总经理LB1001主导公司业务王二165443无意泄露公司机密3缺乏相关安全操作流程和法律意识52403制定操作流程;制定了一些安全控制措施,但措施不够和增强法律意识3419223419242YES3总经理PCLB5001一般办公王二134333恶意代码(如病毒、逻辑炸弹、木马)5缺乏安全意识53254安装防杀毒软件542603A.10.4.1应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的0软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA5213042YES4总经理PCLB5001一般办公王二134333系统漏洞4缺乏安全意识52603设置自动更新补丁服务。442083A.10.3.2应建立对新的信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统0软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4315642YES5总经理PCLB5001一般办公王二134333系统入侵4缺乏安全意识52603加强员工教育。442083A.10.4.1应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的0软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4315642YES6总经理PCLB5001一般办公王二134333未经授权的系统访问4弱的密码管理42083权限设置须申请;审批431562A.11.1.1访问控制策略应建立、形成文件,并基于业务和访问的安全要求进行评审。0软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4210442YES7总经理PCLB5001一般办公综合管理部王二134333意外断电3缺乏意识41562无331172A.9.2.2应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。综合管理部软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA327841YES8总经理PCLB5001一般办公综合管理部王二134333丢失3丢失31172专人专有场所保管。32781327841YES9总经理PCLB5001一般办公综合管理部王二134333遭盗用3被不法分子利用31专人保管设置权限加强安全教育32781327841YES10公司法人章财务专用章LB5002LB5003公司法人章财务专用章综合管理部/财务部王一/张一134333丢失4丢失42083专人专有场所保管。4315624315642YES11公司法人章财务专用章LB5002LB5003公司法人章财务专用章综合管理部/财务部王一/张一134333遭盗用3被不法分子利用31172专人保管设置权限加强安全教育32781327841YES12经理LB1001负责公司技术研发工作软件研发中心王三165443人员流动4被其他更高薪水或职位的公司所聘请42563保密协议、合同、法律的约束。4319224319242YES13经理LB1001负责公司技术研发工作软件研发中心王三165443兜售公司其重要信息3可能被其他公司所利用导致人员被挖走31442增强员工法律、安全意识培训32961329641YES14电子邮件数据LB2001一般办公软件研发中心王三124332设备故障4缺乏定期更换计划52403环境控制431442212441YES15电子邮件数据LB2001一般办公软件研发中心王三124332软件本身存在的漏洞4缺乏定期更换计划41922设置自动更新补丁服务。431442133641YES16电子邮件数据LB2001一般办公软件研发中心王三124332丢失3丢失31082加强员工教育。32721212441YES17电子邮件数据LB2001一般办公软件研发中心王三124332遭盗用3被不法分子利用41442专人保管设置权限加强安全教育331082133641YES18程序源代码LB2002一般办公软件研发中心王三205555设备故障4缺乏定期更换计划54004环境控制432403214041YES19程序源代码LB2002一般办公软件研发中心王三205555软件本身存在的漏洞4缺乏定期更换计划43204设置自动更新补丁服务。432403136041YES20程序源代码LB2002一般办公软件研发中心王三205555丢失3丢失31802加强员工教育。321202214041YES21程序源代码LB2002一般办公软件研发中心王三205555遭盗用3被不法分子利用42403专人保管设置权限加强安全教育331802136041YES22设计文档LB2003一般办公软件研发中心王三165443设备故障4缺乏定期更换计划53204环境控制431922213241YES23设计文档LB2003一般办公软件研发中心王三165443软件本身存在的漏洞4缺乏定期更换计划42563设置自动更新补丁服务。431922134841YES24设计文档LB2003一般办公软件研发中心王三165443丢失3丢失31442加强员工教育。32961213241YES25设计文档LB2003一般办公软件研发中心王三165443遭盗用3被不法分子利用41922专人保管设置权限加强安全教育331442134841YES26SVNLB3002配置管理软件研发中心王三165443恶意代码(如病毒、逻辑炸弹、木马)5缺乏安全意识54004安装防杀毒软件543204A.10.4.1应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA5216042YES27OA系统服务器LB5001一般办公软件研发中心王三165443恶意代码(如病毒、逻辑炸弹、木马)5缺乏安全意识54004安装防杀毒软件543204A.10.4.1应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA5216042YES28经理PCLB5001一般办公软件研发中心王三165443系统漏洞4缺乏安全意识53204设置自动更新补丁服务。442563A.10.3.2应建立对新的信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4319242YES29经理PCLB5001一般办公软件研发中心王三165443系统入侵4缺乏安全意识53204加强员工教育。442563A.10.4.1应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4319242YES30经理PCLB5001一般办公软件研发中心王三165443未经授权的系统访问4弱的密码管理42563权限设置须申请;审批431922A.11.1.1访问控制策略应建立、形成文件,并基于业务和访问的安全要求进行评审。软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4212842YES31经理PCLB5001一般办公软件研发中心王三165443意外断电3缺乏意识41922无331442A.9.2.2应保护设备使其免于由支持性设施的失效而引起的电源故障和其他中断。软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA329641YES32经理PCLB5001一般办公软件研发中心王三165443丢失3丢失31442专人专有场所保管。32961329641YES控制后残余风险剩余风险评估资产资产重要性固有风险评估现有控制措施选择控制目标和控制措施YSS-ISMS-(B-01)-D-0433经理PCLB5001一般办公软件研发中心王三165443遭盗用3被不法分子利用31442专人保管设置权限加强安全教育32961329641YES34程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-DLB5002LB5003LB5004LB5005一般办公软件研发中心张二胡二曾二黄二134333恶意代码(如病毒、逻辑炸弹、木马)5缺乏安全意识53254安装防杀毒软件542603A.10.4.1应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA5319542YES35程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-DLB5002LB5003LB5004LB5005一般办公软件研发中心张二胡二曾二黄二134333系统漏洞4缺乏安全意识52603设置自动更新补丁服务。442083A.10.3.2应建立对新的信息系统、升级及新版本的验收准则,并且在开发中和验收前对系统进行适当的测试。软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4315642YES36程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-DLB5002LB5003LB5004LB5005一般办公软件研发中心张二胡二曾二黄二134333系统入侵4缺乏安全意识52603加强员工教育。442083A.10.4.1应实施恶意代码的监测、预防和恢复的控制措施,以及适当的提高用户安全意识的程序。软件研发中心软件研发中心峰二2013/3/282013/4/72013/4/12013/4/7见SOA4315642YES37程序开发员PC-A程序开发员PC-B程序开发员PC-C程序开发员PC-DLB5002LB5003LB5004LB5005一般办公软件研发中心张二胡二曾二黄二134333未经授权的系统访问4弱的密码管理42083权限设置须申请;审批431562A.11.1.1访问控制策略应建立、形成文件,并基于